Tags:
Node Thumbnail

ทีมวิจัยจาก Hong Kong Polytechnic University รายงานถึงการพัฒนาโมเดลปัญญาประดิษฐ์ LLM4Decompile โมเดลเฉพาะทางสำหรับการแปลงไฟล์ assembly ให้กลับมาเป็นโค้ดภาษา C อีกครั้ง จากเดิมที่เคยมีรายงานกันก่อนหน้านี้แล้วว่า LLM ทั่วไป เช่น GPT-4 ก็สามารถ decompile โค้ดได้

LLM4Decompile เป็นโมเดลเฉพาะทาง มี 3 ขนาด คือ 1.3B, 6.7B, และ 33B ฝึกด้วยโค้ดภาษา C ขนาด 4 พันล้านโทเค็น โดยทีมงานสร้างชุดทดสอบ Decompile-Eval เพื่อวัดผลสุดท้ายคือโค้ดที่ได้สามารถคอมไพล์ได้ (re-compilability) และรันได้เหมือนกับโค้ดตั้งต้นเดิม (re-executability) คล้ายกับชุดทดสอบ HumanEval ที่มักใช้ทดสอบการเขียนโปรแกรมปกติ แต่เปลี่ยนจากการใช้โจทย์การเขียนโปรแกรมเป็นอินพุต มาใช้โปรแกรม assembly แทน

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศยกเลิกการใช้กุญแจเข้ารหัสด้วยอัลกอริทึม RSA ที่ความยาวต่ำกว่า 2048 บิต ส่งผลให้กุญแจ RSA 1024 บิตที่ใช้กันมายาวนาน ไม่สามารถใช้ได้อีกต่อไป

กุญแจเข้ารหัส RSA แบบ 1024 บิต มีความยาวของกุญแจ ทนทานต่อการเจาะเพียง 80 บิต ซึ่งถือว่าน้อยแล้วในปัจจุบัน และ NIST หน่วยงานด้านมาตรฐานอุตสาหกรรมของสหรัฐอเมริกา เพิ่งยกเลิกการใช้กุญแจ RSA 1024 บิต ไปเมื่อปี 2013 และให้เป็นเปลี่ยนกุญแจ RSA 2048 บิต หรือกุญแจที่ใช้อัลกอริทึม ECDSA 256 บิตแทน

Tags:
Node Thumbnail

กูเกิลประกาศปรับกระบวนการทำงานของ Google Safe Browsing ใน Chrome ทั้งบนเดสก์ท็อปและมือถือ ที่ผ่านมาการทำงานของ Safe Browsing ใช้วิธีดาวน์โหลดรายชื่อเว็บไซต์อันตรายมาเก็บไว้ในเครื่องเป็น local list แล้วค่อยตรวจสอบว่าเว็บที่ผู้ใช้เข้าตรงกับรายชื่อหรือไม่ รายชื่อจะอัพเดตทุกๆ 30-60 นาที ทำให้เกิด "ช่องว่างเวลา" ที่อาจมีเว็บเกิดใหม่ขึ้นมา หรือเว็บอันตรายที่ใช้วิธีเปิดๆ ปิดๆ เพื่อหลบการตรวจจับ (สถิติของกูเกิลบอกว่าเว็บอันตรายเหล่านี้จะเปิดมาเฉลี่ยประมาณ 10 นาทีแล้วปิดไป)

แนวทางใหม่ของ Safe Browsing เปลี่ยนมาทำงานออนไลน์ทั้งหมด Chrome จะเช็คกับรายชื่อเว็บอันตรายบนเซิร์ฟเวอร์แบบเรียลไทม์ รายชื่อนี้จะอัพเดตตลอดเวลา อัพเดตทันทีเมื่อตรวจพบเว็บอันตรายเกิดใหม่ในตอนนั้น

Tags:
Node Thumbnail

กูเกิลรายงานการจ่ายเงินรางวัล สำหรับผู้แจ้งบั๊กช่องโหว่ของโครงการ Vulnerability Reward Program (VRP) ในปี 2023 โดยจ่ายเงินไป 10 ล้านดอลลาร์ ให้นักวิจัย 632 ราย ใน 68 ประเทศ

ตัวเลขนี้ลดลงจากปี 2022 ซึ่งกูเกิลจ่ายเงินไป 12 ล้านดอลลาร์ โดยในปีที่ผ่านมา การจ่ายเงินสูงสุดกับนักวิจัยหนึ่งการรายงานคือ 113,337 ดอลลาร์ ตัวเลขสะสมที่กูเกิลจ่ายมาตลอดโครงการนี้ตั้งแต่ปี 2010 คือ 59 ล้านดอลลาร์

VRP ส่วนของการรายงานบั๊ก-ช่องโหว่ใน Android มีการจ่ายเงินไปรวม 3.4 ล้านดอลลาร์ ซึ่งปีที่ผ่านมาขอบข่ายรวมไปถึง Wear OS ด้วย, Chrome มีการจ่ายเงินไป 2.1 ล้านดอลลาร์ จากการรายงานช่องโหว่ทั้งหมด 359 รายการ และส่วน Generative AI ที่เพิ่งเพิ่มมา มีทั้งหมด 35 การรายงาน จ่ายเงินไป 87,000 ดอลลาร์

Tags:
Node Thumbnail

ไมโครซอฟท์อัพเดตถึงเหตุการณ์ถูกกลุ่ม Midnight Blizzard แฮกเมื่อต้นปีที่ผ่านมา โดนล่าสุดพบว่ากลุ่มแฮกเกอร์ยังใช้ข้อมูลที่ได้ไปก่อนหน้านี้พยายามเจาะเข้าระบบของบริษัทอยู่เรื่อยๆ และสามารถเข้าถึงซอร์สโค้ดบางส่วน และระบบภายในได้สำเร็จ โดยไม่มีหลักฐานว่าระบบที่เกี่ยวข้องได้รับผลกระทบแต่อย่างใด

รายงานระบุว่าแฮกเกอร์หาค่า secret ที่พนักงานไมโครซอฟท์ส่งไปมากับลูกค้า โดยตอนนี้ไมโครซอฟท์ติดต่อลูกค้าที่อาจจะได้รับผลกระทบแล้ว

แม้จะอุดช่องโหว่เดิมไปแล้ว แต่ไมโครซอฟท์ก็ยังพบว่ากลุ่ม Midnight Blizzard นี้ยังยิงรหัสผ่านแบบ password spray อย่างต่อเนื่อง แถมปริมาณเพิ่มมากขึ้นจากช่วงมกราคมเป็น 10 เท่าตัว

Tags:
Node Thumbnail

GitHub ประกาศเปิดใช้ฟีเจอร์ secret scanning ตรวจจับว่าในโค้ดที่ส่งขึ้นระบบมี key, token, secret หรือไม่ โดยเป็นค่าดีฟอลต์

ฟีเจอร์นี้เริ่มใช้งานมาตั้งแต่ปี 2022 แต่เป็น opt-in คือผู้ใช้ต้องเลือกเปิดเอง ผลคือยังมีการส่ง key เหล่านี้ขึ้นระบบ GitHub จำนวนมหาศาล เอาแค่ปี 2024 อย่างเดียว เพียงไม่กี่สัปดาห์ก็มี key ลับหลุดเกิน 1 ล้าน key เข้าไปแล้ว จึงทำให้ GitHub ตัดสินใจเปิดฟีเจอร์นี้เป็นค่าดีฟอลต์สำหรับ public repository ทั้งหมด

Tags:
Node Thumbnail

Rustls โครงการไลบรารีเข้ารหัสภาษา Rust ที่วางแผนจะทำตัวเป็นไลบรารีทดแทน OpenSSL ออกเวอร์ชั่น 0.23.0 โดยเปลี่ยนไลบรารีระดับล่างมาเป็น AWS Libcrypto for Rust (aws-lc-rs) ฟีเจอร์สำคัญคือการรองรับโหมด FIPS ที่จำเป็นต่อการเชื่อมต่อระบบของรัฐบาลกลางสหรัฐฯ และองค์กรหลายแห่งก็มักต้องการโหมดนี้ตามไปด้วย

Tags:
Topics: 
Node Thumbnail

NIST ออกชุดเอกสาร NIST’s cybersecurity framework (CSF) เวอร์ชั่น 2.0 สำหรับการวางโครงสร้างองค์กรให้พร้อมรับมือภัยไซเบอร์ หลังจากออกเวอร์ชั่น 1.0 มาตั้งแต่ปี 2014 ตามคำสั่งฝ่ายบริหารของรัฐบาลโอบามา โดยรอบนี้พยายามทำเอกสารให้ครอบคลุมองค์กรทุกประเภท และทุกระดับความเสี่ยงภัยไซเบอร์

Tags:
Node Thumbnail

สัปดาห์ที่ผ่านมาบัญชีผู้ใช้ I-S00N บน GitHub โพสเอกสารจำนวนมาก ระบุว่ามาจากบริษัท Anxun ในจีนที่ให้บริการสปายแวร์และอุปกรณ์สำหรับเจาะเครือข่ายในรูปแบบต่างๆ เพื่อขโมยข้อมูลออกมา พร้อมกับแสดงความไม่พอใจว่าบริษัทหลอกลวงหน่วยงานรัฐ และขัดแย้งกับพนักงาน

Tags:
Node Thumbnail

National Crime Agency (NCA) ของสหราชอาณาจักรร่วมกับ FBI ลงมือปฏิบัติการ Operation Cronos บุกยึดเซิร์ฟเวอร์ของกลุ่มมัลแวร์เรียกค่าไถ่ LockBit รวมถึงเซิร์ฟเวอร์ของตัวแทน (affiliate) อีก 28 เครื่อง ทำให้มัลแวร์ตัวนี้หยุดอาละวาดในที่สุด

NCA ระบุว่าได้ซอร์สโค้ดของเซิร์ฟเวอร์ LockBit พร้อมกับข้อมูลสมาชิกกลุ่มจำนวนมาก และยังพบกุญแจถอดรหัสไฟล์กว่าพันรายการซึ่งจะติดต่อเหยื่อให้ความช่วยเหลือต่อไป นอกจากนี้บนเซิร์ฟเวอร์ยังมีข้อมูลที่กลุ่ม LockBit ขโมยออกมาจากเครื่องของเหยื่อ บางรายการนั้นมีข้อมูลว่าเหยื่อจ่ายค่าไถ่แล้วจึงเป็นหลักฐานว่า LockBit ไม่ได้ลบข้อมูลจริงแม้จะยอมจ่ายค่าไถ่

Tags:
Node Thumbnail

Group-IB บริษัทความปลอดภัยไซเบอร์รายงานถึงกลุ่มมัลแวร์ขโมยเงิน GoldDigger ว่ามุ่งเป้าเหยื่อในไทยและเวียดนาม ความพิเศษคือกลุ่มนี้โจมตีทั้งผู้ใช้ iOS และ Android

มัลแวร์ GoldPickaxe ของกลุ่ม GoldDigger นี้มีทั้งรุ่น iOS และ Android โดยผู้ใช้ iOS อาศัยการติดตั้งผ่าน TestFlight หรือการติดตั้ง MDM Profile ที่ปกติแล้วเป็นการเชื่อมอุปกรณ์เข้ากับระบบขององค์กรให้ผู้ดูแลขององค์กรเข้ามาควบคุมโทรศัพท์ได้

ทาง Group-IB ระบุว่า GoldPickaxe ไม่ได้ขโมยเงินจากแอปธนาคารในเครื่องโดยตรงเหมือนแอปดูดเงินที่ระบาดก่อนหน้านี้ แต่อาศัยการรวบรวมข้อมูลทั้งหมายเลขโทรศัพท์, ดัก SMS, และพรอกซี่ข้อมูลเข้าออกจากโทรศัพท์ เพื่อไปติดตั้งแอปธนาคารบนแอนดรอยด์ของคนร้ายเองแล้วดูดเงินออไปจากบัญชีของเหยื่อ

Tags:
Node Thumbnail

LastPass โปรแกรมจัดการรหัสผ่าน ประกาศเตือนลูกค้าว่าตอนนี้พบแอปปลอมที่สร้างมาเลียนแบบ LastPass พบ App Store ของแอปเปิล โดยแอปนี้ชื่อว่า LassPass Password Manager ระบุว่า Parvati Patel เป็นผู้พัฒนาแอป ซึ่งทั้งโลโก้และหน้าตาแอปก็ทำให้ผู้ใช้สับสนว่าเป็น LastPass

LastPass บอกว่าตอนนี้กำลังดำเนินงานกับผู้เกี่ยวข้อง เพื่อให้แอปนี้ถูกถอดออกจาก App Store ซึ่งล่าสุดแอปก็ถูกนำออกไปเรียบร้อยแล้ว

Christofer Hoff หัวหน้าฝ่ายความปลอดภัยของ LastPass ให้ข้อมูลเพิ่มเติมว่า ตอนนี้บริษัทได้สอบถามแอปเปิล เพื่อทำความเข้าใจกระบวนการตรวจสอบแอป ว่าทำไมแอปปลอมที่ลอกเลียนแอปอื่นที่มีอยู่แล้ว โดยอาศัยการบิดตัวสะกดเล็กน้อย จึงสามารถผ่านกระบวนการตรวจสอบและนำขึ้น App Store ได้

Tags:
Node Thumbnail

กูเกิลร่วมมือกับองค์กรความมั่นคงไซเบอร์สิงคโปร์ (Cyber Security Agency of Singapore - CSA) ทดสอบการบล็อคแอปที่ต้องการสิทธิ์ระดับสูงนอกสโตร์ โดยการทดลองครั้งนี้ยังจำกัดเฉพาะในสิงคโปร์ก่อน

สิทธิ์ระดับสูง ได้แก่ การรับและอ่าน SMS, การอ่าน notification, และ accessibility ซึ่งสิทธิ์เหล่านี้ถูกกลุ่มคนร้ายใช้สร้างแอปดูดเงินบ่อยๆ โดยพบว่าคนร้ายมักหลอกให้เหยื่อติดตั้งแอปเหล่านี้ และเหตุการณ์ 95% เป็นการติดตั้งนอกสโตร์

แม้ Google Play Protect จะเตือนและบล็อคการติดตั้งแต่ในความเป็นจริงคนร้ายก็อาจจะหลอกให้เหยื่อปิด Google Play Protect ได้ (ยกเว้นผู้ใช้ที่เปิด Google Advanced Protection ที่ไม่สามารถปิดได้เลย)

Tags:
Node Thumbnail

มีรายงานพบการทดสอบรองรับคำสั่ง Sudo ใน Windows 11 ซึ่งพบใน Windows Server รุ่นพรีวิวล่าสุด โดยอยู่ในส่วนการตั้งค่า Developer ที่ต้องเปิดใช้งานก่อน ทำให้ผู้ใช้งานสามารถเข้าถึงสิทธิระดับผู้ดูแลได้

อย่างไรก็ตามการพบตัวเลือกคำสั่ง sudo นี้ มาจากพรีวิวที่อัพเดตเมื่อสุดสัปดาห์ที่ผ่านมา และไมโครซอฟท์ยังไม่ประกาศฟีเจอร์นี้อย่างเป็นทางการ จึงต้องรอดูกันว่าจะเปิดใช้งานทั่วไปตอนไหน โดยการทดสอบพบว่าเมื่อสั่งเปิดใช้งาน Sudo จะมีกล่องข้อความเตือนซ้ำอีกครั้งว่าผู้ใช้งานเข้าใจความเสี่ยงของการเปิดใช้ sudo ด้วย

Tags:
Node Thumbnail

Check Point Software Technology ผู้ให้บริการด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์ เปิดเผยว่า องค์กรในประเทศไทยถูกโจมตีทางไซเบอร์มากถึง 1,892 ครั้งต่อสัปดาห์ในช่วงครึ่งปีที่ผ่านมา ซึ่งถือว่าอยู่ในระดับที่สูงมากเมื่อเทียบกับค่าเฉลี่ยทั่วโลกที่ระดับ 1,040 ครั้ง โดยหน่วยงานภาครัฐ/ทหาร อุตสาหกรรมการผลิต และการเงิน/การธนาคาร โดนโจมตีเยอะสุดถึง 5,789 ครั้งในช่วงหกเดือนที่ผ่านมา

ในรายงาน Threat Intelligence Report ของ Check Point พบมัลแวร์แบบคริปโตไมเนอร์ (Cryptominer) และบอตเน็ต (Botnet) มากที่สุดในประเทศไทย ซึ่งแสดงให้เห็นว่าประเทศไทยมีความเสี่ยงต่อการโจมตีแบบฟิชชิ่ง (Phishing) การหลอกลวงรูปแบบต่าง ๆ และการปล้นทรัพยากร (Resource Hijacking)

Tags:
Node Thumbnail

GitLab ออกแพตช์พร้อมแจ้งเตือนช่องโหว่ CVE-2023-7028 ตั้งแต่ต้นปีที่ผ่านมา อย่างไรก็ดีตอนนี้ยังมีเซิร์ฟเวอร์จำนวนมากไม่ได้อัพเดต ทำให้เสี่ยงต่อการถูกยึดเซิร์ฟเวอร์

รายงานจาก The Shadow Server Foundation แสดงให้เห็นว่าเซิร์ฟเวอร์จำนวนมากในสหรัฐฯ, รัสเซีย, เยอรมนี, และจีน ยังเปิดให้เชื่อมต่อผ่านอินเทอร์เน็ต สำหรับในไทยนั้นจำนวนเซิร์ฟเวอร์ดูไม่มากนัก เพียงแค่ 27 เครื่อง

Tags:
Node Thumbnail

SEC หรือ ก.ล.ต. สหรัฐ ชี้แจงผลการสอบสวนจากเหตุการณ์ที่บัญชี X @SECGov โพสต์ข้อความว่าได้อนุมัติ Bitcoin ETF และต่อมาข้อความดังกล่าวถูกลบไป โดยบอกว่าบัญชีถูกแฮค (แล้ววันถัดมาก็ประกาศอนุมัติจริง ๆ)

โดย SEC บอกว่าจากการตรวจสอบร่วมกับผู้ให้บริการเครือข่ายโทรศัพท์มือถือ พบว่ามีการเข้าถึงหมายเลขโทรศัพท์ที่ผูกกับบัญชีของ SEC ผ่านบริการ 3rd party ด้วยการสลับอุปกรณ์ที่ใช้หมายเลขโทรศัพท์ (SIM swap) และเนื่องจากบัญชีนี้ไม่ได้เปิด 2FA หรือการยืนยันตัวตนสองขั้นตอน จึงทำให้เข้าถึงบัญชีได้เลยผ่าน SMS ของโทรศัพท์มือถือ

Tags:
Node Thumbnail

BastionZero เปิดแนวทางใช้งาน OpenPubkey เพิ่มเติมจากการใช้เซ็นไฟล์ มาสู่การล็อกอิน Secure Shell เปิดทางให้สามารถล็อกอิน Secure Shell โดยไม่ต้องฝังกุญแจสาธารณะเอาไว้ในเซิร์ฟเวอร์ซึ่งไม่มีวันหมดอายุและเสี่ยงต่อเหตุการณ์กุญแจรั่วไหล

โครงการ OpenPubkey SSH แยกเป็นสองส่วน ส่วนแรกคือการสร้างใบรับรอง SSH ที่ฝัง PK Token ที่ได้จากการล็อกอินแบบ OpenID Connect เข้าไปด้วย ส่วนฝั่งเซิร์ฟเวอร์มีโปรแกรมตรวจสอบใบรับรองโดยอาศัย PK Token เช่นกัน

Tags:
Node Thumbnail

ไมโครซอฟท์รายงานถึงเหตุการณ์ความปลอดภัยไซเบอร์ที่บริษัทถูกกลุ่ม Midnight Blizzard หรือ Nobelium โจมตีด้วยการยิงรหัสผ่านอีเมล (password spray) ได้เป็นผลสำเร็จ ทำให้ข้อมูลของพนักงานด้านความปลอดภัยไซเบอร์, พนักงานระดับอาวุโส, และฝ่ายกฎหมายบางส่วนถูกดึงออกไปได้ โดยดูเหมือนคนร้ายพยายามหาข้อมูลว่าไมโครซอฟท์รู้ข้อมูลอะไรเกี่ยวกับกลุ่ม Midnight Blizzard เองบ้าง

ปกติการยิงรหัสผ่านแบบนี้ไม่สามารถโจมตีบริษัทที่บังคับล็อกอินสองขั้นตอนได้ แต่กรณีนี้ไมโครซอฟท์มี test tenant แยกออกไปอยู่ และคนร้ายสามารถยึด tenant นั้นได้สำเร็จ หลังจากนั้นจึงอาศัยสิทธิ์ในนั้นเข้าถึงอีเมลของพนักงาน

Tags:
Node Thumbnail

Hendrik H. นักวิจัยได้รับว่าจ้างจากบริษัทแห่งหนึ่งให้เข้าไปแก้ปัญหาซอฟต์แวร์เมื่อปี 2021 และพบโปรแกรม MSConnect.exe ของบริษัท Modern Solution นั้นมีรหัสผ่านฐานข้อมูล MariaDB ฝังอยู่ภายใน และเมื่อล็อกอินเข้าไปก็เห็นข้อมูลของลูกค้าทั้งหมดของ Modern Solution รวมกว่า 700,000 รายการ

Modern Solution ออกประกาศแจ้งเหตุข้อมูลรั่วไหลตั้งแต่ปี 2021 ระบุว่ากระทบเฉพาะผู้ใช้ระบบผ่านลูกค้ารายเดียว แต่หลังจากนั้นตำรวจเยอรมนีก็บุกยึดคอมพิวเตอร์ของ Hendrik เพราะ Modern Solution แจ้งความว่า Hendrikได้รหัสผ่านฐานข้อมูลจากแหล่งข้อมูลภายในพร้อมกับกล่าวหาว่าเขาเป็นคู่แข่งทางธุรกิจ

Tags:
Node Thumbnail

บริษัทวิจัยความปลอดภัย Aqua Security เก็บสถิติแพ็กเกจยอดนิยมบน npm จำนวน 50,000 รายการแรกมาวิเคราะห์ แล้วพบว่าแพ็กเกจสัดส่วน 8.2% มีสถานะเป็นล้าสมัย (deprecated) อย่างเป็นทางการแล้ว (หมายถึงนักพัฒนาเจ้าของแพ็กเกจนั้นประกาศ deprecated อย่างชัดเจน)

อย่างไรก็ตาม ถ้านับแพ็กเกจอื่นที่อาจไม่ deprecated อย่างเป็นทางการ แต่มีสถานะคล้ายๆ กัน เช่น ตัว repository ทั้งอันบน GitHub ถูกปรับเป็น archived ไม่ใช้งานแล้ว, ตัว repository ถูกลบออกจาก GitHub แต่แพ็กเกจยังอยู่ใน npm, แพ็กเกจไม่ได้มีลิงก์ไปยัง repository ต้นทางด้วย สัดส่วนแพ็กเกจที่ล้าสมัย-ใช้งานไม่ได้จะเพิ่มเป็น 21% หรือราว 1/5 ของแพ็กเกจทั้งหมดเลยทีเดียว

Tags:
Node Thumbnail

Bitwarden บริการจัดการรหัสผ่านโอเพนซอร์สชื่อดังเริ่มรองรับการล็อกอินเข้าใช้งานด้วย Passkey แล้ว ทดแทนการใช้ชื่อบัญชีและรหัสผ่านตามปกติ

Bitwarden เลือกรองรับ Passkey ผ่านส่วนเสริม PRF ของมาตรฐาน WebAuthn โดยหลักการของ PRF คือให้กุญแจยืนยันตัวตนสร้างกุญแจเข้ารหัสขึ้นมาชุดหนึ่งสำหรับ Bitwarden (หรือเว็บไซต์อื่นๆ) โดยเฉพาะ จากนั้น Bitwarden ก็จะนำกุญแจนี้ไปใช้กับการเข้ารหัสและปลดล็อคข้อมูลของผู้ใช้ใน vault อีกทอดหนึ่งด้วย

Tags:
Node Thumbnail

OpenSSH ซอฟต์แวร์ควบคุมเครื่องระยะไกลประกาศแนวทางการยกเลิกรองรับกุญแจล็อกอินแบบ DSA (Digital Signature Algorithm) โดยกุญแจแบบ DSA นี้เป็นกุญแจล็อกอินที่ OpenSSH ใช้ตั้งแต่เวอร์ชั่นแรกเมื่อ OpenSSH ตั้งแต่ปี 1999 หรือ 24 ปีที่แล้ว โดยโค้ดทั้งหมดจะถูกถอดออกภายในต้นปี 2025

Tags:
Node Thumbnail

ที่ผ่านมาการแชร์ข้อมูลโดยตรงหากันระหว่างอุปกรณ์ผ่านบลูทูธ โดยเฉพาะช่องทางอย่าง AirDrop ในอุปกรณ์ของแอปเปิล เป็นช่องทางที่หน่วยงานของจีนพยายามออกระเบียบควบคุม เพราะสามารถติดตามตรวจสอบได้ยากกว่าช่องทางอื่น

ล่าสุดมีรายงานว่าหน่วยงานวิจัยของปักกิ่ง อ้างว่าพบวิธีดึงข้อมูล หมายเลขโทรศัพท์, อีเมล และชื่ออุปกรณ์ ของผู้รับและผู้ส่งรูปภาพผ่าน AirDrop ได้แล้ว โดยแกะข้อมูลจาก log ของอุปกรณ์

หน่วยงานวิจัยนี้บอกว่าข้อมูลผู้ส่งไฟล์ใน AirDrop นั้น มีการเก็บแบบเข้ารหัสไว้ใน log ที่ระดับอุปกรณ์ แต่สามารถถอดรหัสได้โดยใช้วิธี Rainbow Tables ซึ่งวิธีการนี้ทำให้หน่วยงานของจีนสามารถตรวจสอบผู้ต้องสงสัยหากมีการเผยแพร่เนื้อหาที่ไม่เหมาะสมได้

Tags:
Node Thumbnail

X ออกแถลงการณ์จากประเด็นที่บัญชีของ ก.ล.ต. สหรัฐ หรือ SEC (@SECGov) โพสต์ข้อความการอนุมัติให้ตั้ง Bitcoin ETF ได้ และต่อมาโพสต์ถูกลบ พร้อมกับบอกว่าบัญชีถูกแฮค

โดย X ยืนยันว่าบัญชี SEC ถูกแฮคจริงจากการสอบสวนเบื้องต้น แต่ไม่ได้เกิดจากช่องโหว่ใด ๆ ในแพลตฟอร์มของ X เอง ปัญหานี้เกิดจากการเชื่อมต่อบัญชีของ @SECGov เข้ากับข้อมูลหมายเลขโทรศัพท์ ผ่านแอปภายนอก รวมทั้งบัญชี @SECGov ก็ไม่ได้เปิดการใช้งานยืนยันตัวตนสองขั้นตอน (2FA) ในขณะที่ถูกแฮค จากกรณีดังกล่าว X จึงแนะนำให้ผู้ใช้งานทุกคนเปิด 2FA เพื่อเพิ่มความปลอดภัยในการใช้งาน

Pages